<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=388281687962727&amp;ev=PageView&amp;noscript=1">

Construcción y protección de datos: qué sucederá con la llegada del RGPD

24 mayo 2018

[RGPD, transformación digital]

En FINALCAD somos conscientes de que vivimos en una época en la que las nociones de protección de datos y ciberseguridad son fundamentales. En este artículo descubrirá en qué afecta el RGPD a la industria de la construcción y cómo FINALCAD siempre se ha preocupado por la protección de los datos de sus clientes.

Recientemente, hemos presenciado las consecuencias de acontecimientos tales como el escándalo de Facebook y el de la empresa Cambridge Analytica, en estos casos los datos personales de millones de usuarios fueron recopilados sin restricción alguna en Facebook en el marco de la última campaña presidencial de Estados Unidos.

Como mencionó hace poco el Sr. Dan Lohrmann:

«[...el año pasado] estuvo marcado por una serie de catástrofes que destruyeron la naturaleza, los datos y la confianza.» (traducción libre) - Dan Lohrmann, Director estratégico y Jefe de seguridad de Security Mentor Inc.

Aunque el mundo digital ofrece multitud de oportunidades a cada cual más interesante, también viene acompañado de una gran cantidad de desafíos, entre los que se incluye la protección de datos. Como empresa de servicios relacionados con los clientes, surgen varias preguntas:

¿Qué datos debemos recopilar?

¿Cómo podemos usarlos?

¿Cómo garantizamos la seguridad de los datos?

Todas estas cuestiones se han tenido en cuenta desde los inicios en FINALCAD y nuestro equipo busca constantemente nuevos desarrollos de producto. Tratamos de alinear nuestros estándares con la nueva normativa industrial. Desde 2015, contamos con una declaración sobre el uso de los datos que ya abordaba estos temas.

LEA NUESTRA DECLARACIÓN SOBRE EL USO DE LOS DATOS →

 

¿QUÉ ES EL RGPD?

Durante años, el uso de datos personales en Europa estaba regulado por la Directiva 95/46 sobre la protección de datos personales. Sin embargo, Internet ha evolucionado mucho desde los años 90 y es por esto que, en 2016, se votó un nuevo reglamento que entrará en vigor a finales de este mes. De hecho, el 25 de mayo, el nuevo Reglamento general de protección de datos (RGPD N.º 2016/679) será efectivo en toda Europa. Su objetivo: proteger mejor a los residentes europeos, armonizar las normativas y extenderlas más allá de la Unión Europea. Su aplicación debería permitir que los usuarios desde Asia hasta Sudamérica, pasando por Europa, estén mejor protegidos cuando traten con un proveedor europeo.

Por tanto, todas las empresas europeas, así como las empresas no europeas con actividades profesionales en Europa deben cumplir con este nuevo reglamento, de lo contrario se enfrentarían a penas muy graves (hasta 20 millones de euros o el 4 % de la facturación global consolidada). Esta es una buena noticia para los internautas y los clientes: significa más transparencia y control sobre sus datos personales y la manera en que estos se tratan, pero ¿qué pasa con las empresas?

OPINIÓN PROFESIONAL

Desde 2011, trabajamos en estrecha colaboración con Étienne Drouard, socio de la firma de abogados K&L Gates1. Nos hemos beneficiado de su extensa experiencia en materia de propiedad intelectual y protección de datos con la finalidad de ofrecer los mejores servicios a nuestros clientes. Hace poco, tuvimos la oportunidad de hablar con él sobre lo que implica el nuevo RGPD para empresas como FINALCAD.

FINALCAD: El nuevo RGPD entrará en vigor el 25 de mayo de 2018. ¿Qué implica esto para las empresas que recopilan datos de sus clientes?

Etienne Drouard: Implica que las relaciones contractuales entre un proveedor de servicios como FINALCAD y sus clientes están reguladas de un modo más estricto por el RGPD (en el Artículo 28). Este establece que la principal obligación del proveedor de servicios es garantizar la seguridad y confidencialidad de los datos personales que le confían sus clientes. Las dos partes del contrato, el proveedor de servicios y su cliente, también deben cooperar para que las personas que deseen ejercer derechos puedan hacerlo. También deben cooperar en sus respectivas obligaciones cuando se produzca un fallo de seguridad por cualquiera de las partes. Tanto el proveedor como su cliente disponen de 72 horas a partir del momento en que tienen conocimiento de un fallo de seguridad para documentarlo y diagnosticarlo y, si los datos en peligro pueden representar un alto riesgo para la privacidad y la protección de las personas, el fallo de seguridad debe notificarse a la autoridad reguladora local. En Francia, la autoridad reguladora es la CNIL, pero normalmente es a la autoridad reguladora del país en el que el cliente de FINALCAD está establecido a la que es necesario informar del fallo.

FINALCAD: ¿Cuáles son los principales cambios en comparación con la regulación anterior?

E.D.: En principio, no hay nada nuevo en cuanto a la relación entre cliente y proveedor. Ya existía la obligación de tener un contrato, de garantizar la seguridad, la confidencialidad y de facilitar que los usuarios finales pudieran ejercer sus derechos. El RGPD supone un avance. Anteriormente, el proveedor no era el responsable de cumplir con las regulaciones: tenía que cumplir su contrato de proveedor con su cliente. Si el proveedor de servicios es legalmente responsable del uso de los datos, el cliente seguirá siendo legalmente responsable frente a terceros, en particular, frente a las personas a las que conciernen los datos. Con el RGPD, las relaciones se reequilibran. Puede existir una responsabilidad conjunta entre el cliente y el proveedor, cuando el proveedor ha actuado libremente, sin instrucciones del cliente. Por lo tanto, el RGPD es más bien ventajoso para los clientes en comparación con el reglamento anterior adoptado en 1995. Dicho esto, FINALCAD ya se comprometía a garantizar la seguridad y la confidencialidad de los datos y ya estaba asumiendo sus responsabilidades, por lo que esto no cambia el marco de sus relaciones con sus clientes.

FINALCAD: ¿En qué benefician estos cambios a los usuarios?

E.D.: No sé si es un beneficio, pero el miedo a las sanciones y el amplio espectro del RGPD harán que las empresas presten más atención a la seguridad de los datos. Yo diría que hay más riesgos, así que se tienen más en cuenta estos temas.

FINALCAD: En un artículo reciente, mencionaba que el escándalo de Facebook es una buena prueba de cómo Europa aplicará las sanciones. ¿Cree que todo el mundo debería preocuparse por sus empresas?

E.D.: Creo que ahora mismo hay una sensación general de pánico completamente irracional. Vemos empresas que están dispuestas a destruir sus archivos actuales por temor a futuros incumplimientos. Otras envían mensajes en los que proponen que confirmemos nuestro acuerdo para recibir sus menajes. Y si no confirmamos nuestro acuerdo antes del 25 de mayo de 2018, prometen no volver a escribirnos. Perderán entre el 60 % y el 85 % del contenido de su base de datos al hacerlo, solo por pánico, porque piensan que el RGPD es retroactivo. Los datos recopilados antes del 25 de mayo de 2018 no estaban sujetos al requisito de la prueba del consentimiento. Lo importante es garantizar el cumplimiento del RGPD a partir de esa fecha.

FINALCAD: Como somos una empresa B2B, recopilamos datos personales, pero sobre todo, recopilamos datos empresariales. ¿Qué papel desempeña el RGPD con este tipo de datos?

E.D.: El RGPD no cambia, modifica ni añade nada. FINALCAD siempre ha firmado acuerdos de confidencialidad, que conciernen mucho más al secreto profesional. Por ejemplo, FINALCAD tiene derecho a conocer cómo se utiliza su aplicación, pero solo en forma de estadísticas, mejoras, recorridos, algoritmos, puntuaciones de rendimiento. No puede hacerlo de una forma que pudiera informar a una empresa sobre los proyectos de otra. Por lo tanto, en ningún caso existe un riesgo relacionado con la competencia o la violación de la confidencialidad.

FINALCAD:En el sector de la construcción, lo digital es todavía una novedad. ¿Qué consejos le daría a las empresas de este ámbito?

E.D.: El consejo que ha funcionado bien hasta ahora es el de educar, porque estamos en un campo donde los clientes confunden la propiedad de un bien con la propiedad de la información. La diferencia entre ambas es que no tiene sentido poseer información si no se le puede dar un uso que le aporte valor. Algunos pueden pensar que al comprar la licencia de un programa, están comprando un negocio. En realidad, pagan un derecho de acceso a una solución que existe previamente a la relación contractual y que no morirá con la finalización del contrato. No son dueños del proveedor ni de las bases de datos, sino que son beneficiarios del servicio y el proveedor garantiza la confidencialidad del uso del servicio. Con FINALCAD, este beneficio se basa en el hecho de que finalmente podemos entender y analizar las decenas de miles de obras, defectos, fallas y comportamientos. Gracias a este análisis, la herramienta de ayuda a la construcción puede acompañar y predecir los factores de ralentización y fracaso, como los factores de productividad.

 Etienne-drouard

Étienne Drouard

Abogado socio - K&L Gates

etienne.drouard@klgates.com 

Étienne DROUARD LinkedIn

EL COMPROMISO DE FINALCAD CON EL RGPD

Aunque la seguridad siempre haya sido una parte importante de nuestro trabajo, desde que se anunció el nuevo RGPD en 2016, hemos comenzado a aplicar varios cambios. Nuestro objetivo es ofrecer a los clientes total tranquilidad en lo que se refiere a la explotación y a la seguridad de sus datos.

El Reglamento General de Protección de Datos está compuesto por seis principios fundamentales que hemos abordado internamente para cumplir con él:

  • Igualdad, equidad y transparencia: garantizar que la recopilación de datos cumple con la ley y que los clientes saben qué información se recopila y por qué.
  • Motivo de la recopilación: los datos deben recopilarse con un objetivo concreto. Este último debe mencionarse claramente a los clientes.
  • Minimización: solo deben recopilarse los datos pertinentes. Al reducir la cantidad de datos recopilados se reducen también los riesgos en caso de violación del reglamento. Según el RGPD, cualquier violación del reglamento constituye un riesgo para los individuos y debe, por lo tanto, ser comunicada.
  • Exactitud: para garantizar la protección de los datos, estos deben ser exactos. Cualquier error debe modificarse/borrarse y cualquier persona puede solicitar la modificación o eliminación de sus datos.
  • Limitación de almacenamiento: las empresas deben borrar todos los datos innecesarios, lo que significa que cuando una persona deja de ser un cliente, deben eliminarse sus datos.
  • Integridad y confidencialidad: todas las empresas deben implantar un sistema de seguridad correspondiente al nivel de riesgo al que se enfrente.

Tal y como requiere el RGPD, hemos nombrado recientemente un Delegado de Protección de Datos, el Sr. Marc Bourel. De hecho, Marc tiene una amplia experiencia en el sector de las tecnologías de la información, así como en el marco de la auditoría y de la responsabilidad corporativa. En concreto, ha trabajado en la armonización SOX para HSBC Assurance y en la aplicación de las normas ISO 9001 y ISAE 3402 para La Parisienne Assurances/Protegys Group y Zags.

Comenzó a trabajar en FINALCAD el pasado junio como consultor y ahora se ha unido oficialmente al equipo como Chief Information Officer (CIO). Junto a su equipo, Marc trabaja diligentemente para que nuestro producto cumpla con los estándares de la industria. Es un actor clave en nuestra empresa y ya tiene a sus espaldas una gran cantidad de cambios y mejoras de nuestros procesos internos.

 Marc BOUREL

Marc Bourel

Jefe de información y oficial de protección de datos - FINALCAD

marc@finalcad.com

Étienne DROUARD LinkedIn

IR MÁS ALLÁ DEL CUMPLIMIENTO ISAE 3402

Todos estos esfuerzos para asegurar el mejor servicio posible forman parte de una iniciativa más amplia que hemos emprendido recientemente para obtener el estándar ISAE 3402. Efectivamente, para nosotros es importante fortalecer la relación de confianza con nuestros clientes y reforzar nuestra posición como líder digital en el mercado de la construcción.

La ISAE 3402 es un informe emitido por el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB). Este último sirve para garantizar a los clientes y a sus auditores financieros la aplicación de controles de calidad dentro de una empresa seleccionada como tercer proveedor de servicios. Para obtener tal estándar, una compañía debe pasar por una serie de extensos procesos de verificación para demostrar que tiene los controles apropiados establecidos (Tipo I) y que son efectivos (Tipo II).

Nuestro enfoque ISAE 3402 nos lleva a implementar controles internos que beneficiarán no solo a nuestros clientes, sino también a nuestra empresa. Este reconocimiento internacional nos ayudará a satisfacer mejor las necesidades de nuestros clientes y, a largo plazo, reducirá los costes internos debido a la estandarización de los procesos y nos ayudará en la mejora continua de nuestro trabajo.

En última instancia, estos cambios son necesarios para ayudarnos a cambiar la manera de construir.

Para obtener más información sobre nuestro uso de los datos, lea también nuestra declaración sobre el uso de los datos.

LEA NUESTRA DECLARACIÓN SOBRE EL USO DE LOS DATOS →

 

1. K&L Gates es un bufete de abogados internacional totalmente integrado. La firma fue fundada en 1946 y tiene su sede en Pittsburgh, Pensilvania. K&L Gates también tiene oficinas en Estados Unidos, Sudamérica, Asia, Europa, Oriente Medio y Australia. (Bloomberg, 2018).